Contenu connexe
Plus de Aleksey Lukatskiy
Plus de Aleksey Lukatskiy (20)
Защита АСУ ТП - пора действовать
- 1. Безопасность АСУ
ТП: от слов к делу
Алексей Лукацкий
Бизнес-консультант по безопасности, Cisco
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/110
- 2. Что такое АСУ ТП?
В России еще ГАС «Выборы», кадастры и все, что
влияет на национальную безопасность
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2/110
- 3. Сначала я хотел говорить об угрозах и
тенденциях в АСУ ТП
Потеря производительности
Штрафы
Судебные иски
Потеря общественного
доверия
Потеря капитализации
Выход из строя оборудования
Нанесение ущерба
окружающей среде Взрыв газопровода СССР, 1982
Ущерб здоровью Нефтепровод в Bellingham США, 1999
Человеческие жертвы Очистные сооружения Австралия, 2001
АЭС Davis Besse США, 2003
Сеть электроэнергии США, 2003
$$$.$$ АЭС Browns Ferry США, 2006
Обогатительные заводы в Иране, 2010
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3/110
- 4. Отказ на Taum Sauk
Гидроаккумулирующая
электростанция Taum
Sauk
АСУ ТП зафиксировала
некорректный уровень воды
Насосы продолжали работать
Дамба переполнилась и размылась
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4/110
- 5. Взрыв нефтяной цистерны в
Бансфилде
Измерение
уровня топлива
«зависло»
Измерительная
система
показала
аномалию
Закачка
продолжалась
Цистерна
переполнилась
Резервная система безопасности отказала
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5/110
- 6. Взрыв трубы в Вашингтоне
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6/110
- 7. Взрыв трубы в Вашингтоне
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7/110
- 8. Червь на атомной электростанции
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8/110
- 9. Взлом иных типов АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9/110
- 10. Недавние события
Хакеры получили несанкционированный доступ к
компьютерным системам водоочистных сооружений в
Харрисбурге, шт. Пенсильвания, в начале октября
2006 года. Ноутбук сотрудника была взломан через
Интернет, затем он использовался как точка входа для
доступа к административным системам и установки
вирусов, троянских и шпионских программ.
На конференции Federal Executive Leadership
Conference в Вильямсбурге, штат Вирджиния,
представитель спецслужбы подтвердил
200 представителям правительства и
промышленности, что злоумышленники вторгались в
системы нескольких организаций, составляющих
национальную инфраструктуру, и требовали выкуп,
угрожая отключить системы. Поставщики
коммунальных услуг в США не подтверждали и не
отрицали факты подобного шантажа.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10/110
- 11. Зарубежные покупки Китаем активов
ТЭК и кибератаки на них
Purchase of major stake in Kazakh oil company
Purchase of Rumaila oil field, Iraq, at auction
McKay River and Dover oil sands deal with Athabasca, Canada
LNG deal with QatarGas
Aggressive bidding on multiple Iraqi oil fields at
LNG deal with QatarGas auction
Purchase of major stake in a second Kazakh oil company
Shady RAT (
LNG deal with Shell Night Dragon
U.S.LNG deal with QatarGas China-Taiwan trade deal for petrochemicals
natural
gas LNG (Kazakhstan, Taiwan,
deal with Exxon
Development of Iran’s Masjed Soleyman oil
field
wholesaler) Greece,Phase 11 with
Finalization of South Pars
U.S.) Oil development deal with Afghanistan
Iran
Framework for LNG deal with Russia
LNG deal with Australia
LNG deal with Uzbekistan
LNG deal with Australia
Shale gas deal with Chesapeake Energy in Texas
LNG deal with France
2008 2009 2010 2011 2012 2013
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11/110
- 12. Насколько велики риски?
Сведения публикуются о менее чем 1% (0,25%) инцидентов
Возможен ущерб репутации и снижение котировок акций
Риск = вероятность угрозы X возможные последствия
Выбираемые цели характеризуются бóльшим ущербом,
чем легкодоступные цели
Ущерб < 100 000 долл. США Ущерб > 100 000 долл. США
4% Саботаж
8% Взлом
21% Саботаж
8% Прочее
12% Случайность
79% Случайность
68% ВПО
Источник: Eric Byres, BCIT 12/110
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
- 13. Потом я хотел говорить о цикле PDCA
для АСУ ТП
В мае 2006 года в рамках
Chemical Sector Cyber
Security Program советом
по ИТ химической
индустрии (Chemical
Information Technology
Council, ChemITC) в рамках
американского совета
химической индустрии были
предложены рекомендации
по информационной
безопасности в основу
которых легли стандарты
ISOIEC 17799 и ISA-TR99
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13/110
- 14. Потом я хотел говорить о стандартах
безопасности АСУ ТП
ISA SP99
NERC CIP
Guidance for Addressing Cyber Security in the Chemical
Industry
NIST PCSRF Security Capabilities Profile for Industrial
Control Systems
IEC 61784-4
Cisco SAFE for PCN
КСИИ ФСТЭК
Стандарты Газпрома
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14/110
- 15. И об этих
IEEE 1402 «IEEE Guide for Electric Power Substation
Physical and Electronic Security»
IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06
on Data and Communication Security»
IEC 62351 «Data and Communication Security»
FERC Security Standards for Electric Market Participants
(SSEMP)
American Petroleum Institute (API) 1164 «SCADA
Security»
Security Guidelines for the Natural Gas Industry
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15/110
- 16. А еще об этих
API Security Guidelines for
the Petroleum Industry
API Security Vulnerability
Assessment Methodology for
the Petroleum and
Petrochemical Industries
American Gas Association
(AGA) 12 Cryptographic
Protection of SCADA
Communications (4 части)
NIST SP800-82 «Guide to
Industrial Control Systems
(ICS) Security»
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16/110
- 17. Но проще почитать NIST SP800-82
Общим руководством
по защите АСУ ТП и
выбору
необходимого
стандарта является
руководство NIST
SP800-82
Выпущен в июне 2011
года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17/110
- 18. Потом я хотел говорить об этом
В России такой документ должен появиться только в 2014-м году
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18/110
- 19. В рамках Control Systems Security
Program
Создание системы национального масштаба для
координации усилий государства и частного бизнеса
с целью снижения уязвимости и реагирования на
угрозы, связанные с системами управления
технологическими процессами, связанными с
национальной критической инфраструктурой
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19/110
- 20. Но в условиях роста угрозы
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20/110
- 22. Топ10 рисков в АСУ ТП
1. Политики, процедуры, и культура ИБ неадекватны.
Руководство не уделяет внимание проблеме
защиты АСУ ТП. Персонал игнорирует тренинги по
защите АСУ ТП
2. Плохо проработанные дизайны сетей АСУ ТП
3. Удаленный доступ к АСУ ТП осуществляется без
аутентификации и авторизации
4. Стандартные механизмы системного
администрирования не включены в
администрирование АСУ ТП
5. Использование незащищенных беспроводных
соединений
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22/110
- 23. Топ10 рисков в АСУ ТП
6. Недостаток выделенных каналов управления и
неадекватное нецелевое использование сети
сегмента АСУ ТП
7. Недостаток простых и понятных инструментов для
обнаружения и документирования аномальной
активности
8. Инсталляция ненужного ПО и железа на элементы
АСУ ТП
9. Управляющие системы и команды не
аутентифицируются
10. Неадекватно управляемая, разработанная и
внедренная система поддержка АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23/110
- 24. Три уровня нейтрализующих мер
• Механизмы,
Средний • ИБ-активности,
традиционные для не- поддерживающие и
ИТ/ИБ активностей • Начальные тактические расширяющие базовый
мероприятия, и средний уровень и
обеспечивающие могущие потребовать
реализацию дополнительной
управляемых защитных экспертизы
функций на базе ИБ-
активностей
Базовый Расширенный
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24/110
- 25. 1. Неадекватные политики и
процедуры
Базовый
Заручитесь поддержкой руководства
Разработка и документирование политики кибербезопасности
Внедрение политик и процедур из государственных
стандартов по безопасности КВО
Средний
Внедрение лучших индустриальных практик
Контроль выполнения политик и процедур
Расширенный
Внедрение процесса непрерывного улучшения внедряемых
политик и процедур
Проведение периодических тренингов и аудитов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25/110
- 27. ТАК руководство не понимает
важности задачи
Сброс до
Соблюдение Сброс до выше чем Катастрофа Сброс до выше чем
нормальной скорости нормальная скорость с1410 до 2 и новой нормальной нормальная скорость
(807-1210 Hz) (1410 Hz) опять до 1064 Hz (1064 Hz) (1410 Hz)
1500
Скорость в Hz
1000
500
Норма Стресс Новая норма Стресс
0 Фаза I Фаза II Фаза III Фаза IV Фаза II
~ 12.8 дней ~ 27 дней 15 или 50 минут ~ 27 дней ~ 27 дней
Начало
заражения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27/110
- 28. А ТАК совсем другое дело
Каскады в Натанзе, Объем: Общее число Удача: Каскады
2007-2012 каскадов работающие
60
40
20 2009 – середина
2007 2008 После Stuxnet
2010
0
Феб-07 Июл-07 Дек-07 Май-08 Окт-08 Мар-09 Авг-09 Янв-10 Июн-10 Ноя-10 Апр-11 Сен-11 Фев-12
Подготовка Stuxnet 1.0 Stuxnet 2.0
Решение о цели
Разработка
методов внедрения Середина- Июнь 2010
Обкатка 2009 Публичное
Разработка кода Код открытие
Подготовка к появляется в Stuxnet
Flame? диком виде
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28/110
- 29. Или вот так…
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29/110
- 32. Пример политики
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32/110
- 33. Где брать информацию об
уязвимостях?
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33/110
- 34. 2. Плохо проработанные дизайны
Базовый
Внедрение электронного периметра и отключение всех
нетребуемых соединений
Составление и поддержка списка критических ресурсов
Средний
Зонирование электронного периметра
Минимальное количество расшаренных ресурсов между
корпоративной сетью и АСУ ТП
Тренинги для сотрудников, вендоров, интеграторов
Расширенный
Внедрение VLAN, PVLAN, NIPS/HIPS, обнаружения
аномалий, интеллектуальных коммутаторов и т.п.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34/110
- 35. Зонирование по Cisco SAFE for PCN
Уровень 5 Enterprise Network
Зона
корпора-
Уровень 4 Email, Intranet, etc. Site Business Planning and Logistics Network тивной ЛВС
Terminal Patch AV
Services Mgmt Server
DMZ
Historian Web Services Application
(Mirror) Operations Server
Site Operations
МСЭ и
Production Optimizing Engineering
Уровень 3 Control Control
Historian
Station and Control IPS
Supervisory HMI Supervisory HMI Area
Уровень 2 Control Control Supervisory
Control ЛВС
АСУТП
Уровень 1 Batch
Control
Discrete
Control
Continuous
Control
Hybrid
Control
Basic
Control
Уровень 0 МСЭ и IDS Process
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35/110
- 36. Логическая схема
Зона корпоративной ЛВС содержит типичные бизнес
приложения
Почта, АСУП (ERP), Интернет, и т.п.
Зона ЛВС АСУ ТП отделяет критичные системы АСУ ТП
Состоит из нескольких функциональных мини-зон
Опционально: МСЭ и IDS
Зона DMZ обеспечивает связность
Содержит только некритичные системы, которым необходим
доступ к корпоративной ЛВС и ЛВС АСУ ТП
Обеспечивает разделение корпоративной ЛВС и ЛВС АСУ ТП
Состоит из нескольких функциональных мини-зон
Отделена межсетевыми экранами (МСЭ) и IPS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36/110
- 37. Граница
Пример DMZ периметра
Терминаль- Сервер Антивиру-
ный сервер обновле- сный
ний ПО сервер
Функцио-
нальные DMZ
мини-зоны
Прямого
обмена
Historian Web Сервер нет
Mirror Services приложений
Operations
Граница
периметра
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37/110
- 38. Настраивая МСЭ, не забудьте
Очень часто правила на МСЭ
Не имеют комментариев
Общие или упрощенные
Устаревшие и не удаляются
Многие без авторства/владельца или обоснования появления
Регистрация не включена
Боязнь деградации производительности – надо было
тестировать ДО приобретения
МСЭ разрешает прямое соединение к нему
Одинаковые наборы правила для корпоративного
МСЭ и МСЭ в АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38/110
- 39. 3. Удаленный доступ к АСУ ТП
Базовый
Проработка соглашения с вендором об удаленном доступе
к АСУ ТП
Проверки персонала/вендоров/интеграторов с доступом к
критическим системам
Внедрение и документирование организационных
процессов
Разработка и внедрение политики управления
пользователями, включая парольную политику
Изменение всех паролей по умолчанию
Использование защищенного удаленного доступа (VPN,
SSH, SSL, IPSec, DTLS)
Контроль всех внешних соединений
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39/110
- 40. Векторы атак
В 50% случаев использовались подключения сети PCN
к корпоративной сети
В 17% случаев использовались подключения сети PCN
к Интернету
3% Беспроводные сети
7% Сети VPN
7% Модем для коммутируемых линий
7% Телекоммуникационная сеть
10% Доверенное подключение
сторонних систем
(Включая зараженные ноутбуки,
рост продолжается)
17% Непосредственно Интернет
49% Корпоративная сеть
Источник: Eric Byres, BCIT 40/110
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
- 41. Эволюция угроз
До 2000: внутренние угрозы
2000—2005: ВПО – в основном, черви
2006—2008: взлом ради выгоды
2008+: кибервойны?
Типы инцидентов (1982—2000) Типы инцидентов (2001—2003)
31% Случайные 5% Внутренние
5% Прочие
31% Внешние 20% Случайные
38% Внутренние 70% Внешние
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41/110
- 42. 3. Удаленный доступ к АСУ ТП
Средний
Выделение удаленного доступа в отдельный сегмент
Уникальные идентификаторы и разные уровни доступа в
зависимости от потребностей
Аутентификация и авторизация удаленного доступа
Многофакторная аутентификация
Регулярный аудит методов удаленного доступа
Network mapping и war dialing для недекларированных
подключений
Специальные разделы в договорах с вендорами и
контраторами
Внедрение NIPS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42/110
- 43. 3. Удаленный доступ к АСУ ТП
Расширенный
Терминальный доступ
Внедрение NAC (Network Access Control) для удаленного
доступа
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43/110
- 44. 4. Системное администрирование в
АСУ ТП
Базовый
Инвентаризация ПО и железа
Разработка и внедрение политики контроля качества ПО и
железа (покупка, поддержка, вывод из строя и т.д.)
Внедрение процесса управления обновлениями для ОС,
системного и прикладного ПО (отслеживание, оценка,
тестирование, инсталляция)
Документирование и внедрение процесса установки
обновлений для антивируса и IDS
Регулярный анализ прав доступа в связи с должностями
Управление правами уволенных пользователей
Изменение общих учетных записей с расширенными
привилегиями
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44/110
- 45. Инвентаризация сети АСУ ТП
Nmap
MaxPatrol
Afterglow
Создает карту сети на основе записанного сетевого
трафика
Argus
Генерация сетевого трафика на базе pcap-файлов
Поисковая система Shodan
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45/110
- 46. Nmap по-прежнему в цене
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 46/110
- 47. Shodan – Google для хакеров
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47/110
- 48. 4. Системное администрирование в
АСУ ТП
Средний
Оценка и классификация приложений. Удаление ненужных
Кластеризация или дублирование компонентов АСУ ТП,
позволяющие установку обновлений без простоя АСУ ТП
Полное резервирование, а также наличие резервной
тестовой платформы
Договор с вендорами о возможности проверки целостности
новых релизов ПО
Управление логами для контроля и отслеживания истории
действий отдельных пользователей
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 48/110
- 49. 4. Системное администрирование в
АСУ ТП
Расширенный
Автоматическое удаление учетных записей для уволенных
пользователей или утерянных бейджей
Работа с вендорами для разработки и внедрения
формального процесса оценки качества ПО с целью
определения функциональных возможностей через
тестирование, сертификацию и аккредитацию
Тестирование на уязвимости
Ограничение числа пользователей с привилегиями
администратора
Ограничение общих/разделяемых учетных записей
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 49/110
- 50. Что включать в договора с
вендорами?
Cyber Security
Procurement Language
for Control Systems
Документ (145 стр.)
аккумулирует
принципы ИБ, которые
должны учитываться
при разработке и
приобретении АСУ ТП
и сервисов с ней
связанных
Это рекомендация –
не стандарт
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 50/110
- 51. Средства анализа защищенности
Отечественный и сертифицированный MaxPatrol
Nessus
Есть дополнения для АСУ ТП (не всегда публичные)
Сертификат на Nessus истек
Тоже платный
SCADA-аудитор (НТЦ «Станкоинформзащита»)
Cyber Security Evaluation Tool (CSET)
Бесплатный; разработан US-CERT
Средства моделирования атак
Metasploit
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 51/110
- 52. Расширения Nessus для АСУ ТП
Matrikon OPC Explorer
Matrikon OPC Server for ControlLogix
Matrikon OPC Server for Modbus
Modbus/TCP
Coil Access
Discrete Input Access Programming
Function Code Access
National Instruments Lookout
OPC DA Server/OPC Detection/OPC HDA Server
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 52/110
- 53. Расширения Nessus для АСУ ТП
Modicon
ModiconPLC CPU Type
PLC Default FTP Password
PLC Embedded HTTP Server
PLC HTTP Server Default Username/Password
PLC Telnet Server
IO Scan Status
Modbus Slave Mode
ModiconPLC Web Password Status
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 53/110
- 54. Расширения Nessus для АСУ ТП
Siemens S7-SCL
Siemens SIMATIC PDM – Siemens – Telegyr ICCP
Gateway - SiscoOSI/ICCP Stack-.
SiscoOSI Stack Malformed Packet Vulnerability
Tamarack IEC 61850 Server
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 54/110
- 56. Metasploit для АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 56/110
- 57. Удаленный доступ к HMI
VNC payloads обеспечивает доступ к целевому узлу с HMI
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 57/110
- 58. Это не теория!
В 2001 году австралийский хакер был
приговорен к 2 годам тюремного заключения
за свою атаку на систему управления
канализацией в Брисбене, которая привела
к сбросу 1 млн литров нечистот на
территории отеля Hyatt Regency Resort
Витек Боден, сотрудник компании,
установившей компьютеры, запустил атаку в
качестве мести за то, что его не
восстановили на работе после увольнения
Боден использовал ноутбук,
радиооборудование и программные
средства для проникновения в систему
управления канализацией и
перепрограммирования насосов.
Он был признан виновным в 46 случаях
взлома
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 58/110
- 59. Расширения Metasploit для АСУ ТП
Модуль для Rockwell
Модуль для GE
Модуль для Schneider Electric
Модуль для Koyo
Модуль для WAGO
Выпущены в апреле 2012 года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 59/110
- 60. Взломать можно – использовать не
всегда!
HMI системы по выработке растительного масла
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 60/110
- 62. Пример: Idaho National
Lab
Участвуют основные
вендоры
Полнофункциональные
SCADA/PCS/DCS
Взаимодействие между
системами ICCP
Реальные конфигурации
Удаленное тестирование
Тестирование ИБ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 62/110
- 63. Тестирование коммуникаций
в Idaho National Lab
Единственный в Америке
(и мире) беспроводной
полигон размера
небольшого города
9 базовых станций
Поддержка 3G, 4G, Wi-Fi,
Land Mobilу Radio
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63/110
- 64. Тестирование для энергетиков в Idaho
National Lab
Собственная
электростанция на 138 кВ
7 подстанций
Возможность изоляции
части системы для
специальных тестов
Централизованный
мониторинг в реальном
времени
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 64/110
- 65. 5. Использование беспроводных
соединений
Базовый
Разработка политики использования беспроводных
соединений (включая 3G и 4G)
Регулярная оценка рисков для беспроводных
соединений, включая подверженность DoS
Внедрите зашифрованные беспроводные
соединения везде, где возможно
Использование нешироковещательных SSID
GPS/Mobile
Внедрите процедуру отключения беспроводных Jammer
соединений в условиях его неиспользования в
момент нахождения в критическом сегменте
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 65/110
- 67. 5. Использование беспроводных
соединений
Средний
Внедрение протокола 802.1x для аутентификации устройств
Включение ограничений по MAC
Используйте дизайн с направленными антеннами, там где
возможно
Внедрите технологии для обнаружения посторонних точек
доступа и клиентских устройств
Регулярно проводите анализ беспроводного сигнала для
идентификации границ беспроводного периметра
Беспроводные IDS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 67/110
- 68. 5. Использование беспроводных
соединений
Расширенный
Обнаружение незарегистрированных по 802.1x устройств
Шифрование всего беспроводного трафика на
транспортном или прикладном уровне
Использование PKI и серверов сертификатов
Внедрение протокола 802.11i (WPA2)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 68/110
- 69. 6. Общие каналы для управления и
контроль сетевого трафика
Базовый
Определение протоколов и приложений, доступных в сети
АСУ ТП. Устранение ненужных протоколов
Разделение функций по раздельным сегментам
Ограничение или запрет ненужного трафика и обеспечение
качество обслуживания
Средний
Аутентификация всех точек и соединений с сегментом АСУ
ТП (технически или процедурно)
Внедрение IDS для мониторинга трафика
Расширенный
Внедрение систем обнаружения аномалий и реагирования
на вторжения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 69/110
- 70. В АСУ ТП есть и проприетарные
протоколы
ANSI X3.28 Modbus (Modbus+,
Modbus TCP и др.)
BBC 7200
OPC
CDC Types 1 and 2
ControlNet
Conitel2020/2000/3000
DeviceNet
DCP 1
DH+
DNP 3.0
ProfiBus
Gedac7020
Tejas3 and 5
ICCP (IEC60870-6 или
TASE.2) TRW 9550
Landis & Gyr8979 UCA
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 70/110
- 71. Сегментация АСУ ТП
Функцио-
нальные WAN/LAN
мини-зоны Port Security
Site Operations
QoS
Production Optimizing Engineering
Уровень 3 Control Control
Historian
Station and Control Smart Ports
NAC
Supervisory HMI Supervisory HMI Area
Уровень 2 Control Control Supervisory
Control ЛВС
АСУТП
Уровень 1 Batch
Control
Discrete
Control
Continuous
Control
Hybrid
Control
Basic
Control
Уровень 0 Process
МЭ и IDS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 71/110
- 72. 7. Обнаружение и документирование
аномальной активности
Базовый
Внедрение систем для мониторинга сетевого трафика
Сохранение и регулярный аудит логов
Профилирование нормального трафика
Внедрение меток времени для SIEM
Средний
Обнаружение аномалий
Синхронизация времени в логах по GPS или NTP
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 72/110
- 74. 7. Обнаружение и документирование
аномальной активности
Расширенный
Внедрение долговременного хранилища для доказательств,
имеющих юридическую силу
Разработка и внедрение специфических для АСУ ТП
сигнатур
Работа с вендорами по разработке инструментов
идентификации подозрительного трафика АСУ ТП
Внедрение SIEM
Там где целесообразно, внедрение специализированных
защищенных операционных систем
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 74/110
- 75. Иерархия сигнатур для АСУ ТП
Не забывайте, что в АСУ ТП есть и широко
распространенное системное и прикладное ПО
Не забывайте, что АСУ ТП используют
преимущественно стек протоколов TCP/IP
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 75/110
- 76. Специализированные IPS для АСУ ТП
На рынке существуют
специализированные
средства
предотвращения
вторжений для АСУ ТП
Обратите внимание
Поддерживаемые
вендоры
Доступность в России
Сертификат вам нужен?!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 76/110
- 77. Сигнатуры для АСУ ТП – можно и
самостоятельно
ID сигнатуры
Сообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any ->
$MODBUS_SERVER 502
(flow:from_client,established; content:”|00 00|”;
offset:2; depth:2;
pcre:”/[Ss]{3}(x05|x06|x0F|x10|x15|x16)/iAR”;
msg:”Modbus TCP –Unauthorized Write Request to
a PLC”; reference:scada,1111007.htm;
classtype:bad-unknown; sid:1111007; rev:1;
priority:1;)
Резюме Неавторизованный Modbus-клиент попытался
записать информацию на PLC или иное
устройства
Воздействие Целостность системы
Отказ в обслуживании
Информация
Подверженные системы PLC и другие устройства с Modbus TCP сервером
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 77/110
- 78. Сигнатуры для АСУ ТП – можно и
самостоятельно
ID сигнатуры
Сообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <>
![192.168.0.3,192.168.10.21] any (msg:"HMItalking
to someone other than PLC or RTU -NOT
ALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованной системы
подключиться к HMI
Воздействие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 78/110
- 79. Сигнатуры для АСУ ТП – можно и
самостоятельно
ID сигнатуры
Сообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23
(msg:”Unauthorized connection attempt to RTU
Telnet”; flow:from_client,established; content:”GET”;
offset:2; depth:2; reference:DHSINLroadshow-
IDStoHMI1;classtype:misc-activity; sid:1000003;
rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся
подключиться к RTU Telnet-серверу
Воздействие Сканирование
Компрометация системы управления
Информация
Подверженные системы RTU
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 79/110
- 80. 8. Ненужное ПО
Базовый
Разработка и внедрение политик установки ПО и железа
Разработка политик и процедур для управления изменениями
Разработка и внедрение процесса отслеживания и
инвентаризации железа
Обучение и повышение осведомленности персонала,
ответственного за поддержку и эксплуатацию АСУ ТП
Внедрение политик и процедур контролируемого доступа
аутентифицированных устройств к компонентам АСУ ТП (где
возможно)
Ограничение физического и электронного доступа на основе
ролей
Контролируйте автоматический останов ПО (при license expire)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 80/110
- 81. 8. Ненужное ПО
Средний
Использование IDS и антивирусов
Разработка и внедрение политик использования внешних
носителей и периферийных устройств
Запрет всех ненужных портов ввода/вывода на всех
устройствах
Расширенный
Составление списка разрешенного ПО для каждой станции
и сервера. Контроль изменений
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 81/110
- 82. 9. Команды и системы управления не
аутентифицируемы
Базовый
Ограничьте соединения и изолируйте коммуникации
системы управления и сетевую инфраструктуру
Определите требования по целостности и аутентификации
данных управления
Средний
Разработайте и внедрите политику управления
криптографическими ключами
Расширенный
Используйте, там где возможно, протоколы управления,
содержащие механизмы аутентификации и обеспечения
целостности данных без снижение производительности
(например, Secure DNP3 или DNPSec)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 82/110
- 83. 10. Неадекватная система поддержки
Базовый
Определите текущую и желаемую инфраструктуру
поддержки и идентифицируйте разрыв
Включите систему поддержки в планы по непрерывности.
Периодически их тестируйте
Средний
Разработайте и внедрите политики для поддержки
Расширенный
Внедрите меры, устраняющие разрыв, для достижение
заданного уровня поддержки/непрерывности
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 83/110
- 86. ИБ раньше не имела отношения к АСУ
ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 86/110
- 87. Безопасность АСУ ТП vs ИТ-
безопасность
Вопросы ИБ Традиционные ИТ АСУ ТП
Антивирус Широкое применение / общая Сложно реализовать / на
практика практике применяется редко
Жизненный цикл технологий 3-5 лет До 20 лет и выше
Аутсорсинг Широкое применение / общая Редко используется
практика
Установка патчей Регулярно / по расписанию Долго и редко
Управление изменениями Регулярно / по расписанию Наследуемые системы
(плохая реализация
требования ИБ)
Контент, критичный ко Задержки принимаются Критично
времени
Доступность Задержки принимаются 24 х 7 х 365 (непрерывно)
Повышение осведомленности Организовано неплохо Обычно слабо в вопросах ИБ
Аудит ИБ Планируется и реализуется Время от времени (после
третьей стороной сбоев)
Физическая безопасность Безопасности Очень неплохо, но часто
удаленно и автоматизировано
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 87/110
- 88. Средства защиты отстают –
используйте компенсационные меры
Возможности злоумышленников
Возможности защиты
Окно
уязвимости
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 88/110
- 89. Пока СЗИ нет, пусть АСУ ТП защищает
сама себя
Безопасность Безопасность как
как опция свойство системы
Высокая сложность
Сниженная сложность
Высокая стоимость интеграции
Простота развертывания и управления
Риски ИБ не исключены
Эффективное исключение рисков ИБ
Низкая надежность
Низкие показатели TCO
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 89/110
- 90. Что с сертификацией?
Есть профиль защиты для PLC, RTU, IED
Для датчиков сертификация не нужна – они не являются
мишенью для атаки и не выполняют защитных функций
HMI также не выполняют защитных функций
В России этот профиль не переведен и не
используется
Есть система сертификации «ГАЗПРОМСЕРТ»
В т.ч. и средств защиты
Есть прецедент сертификации оборудования для
Smart Grid по требованиям безопасности ФСТЭК
Cisco Connected Grid Router (CGR) и Connected Grid Switch
(CGS)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 90/110
- 91. Квалификация
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 91/110
- 92. Русские хакеры в Иллинойсе
Ноябрь 2011: Спрингфилд, Иллинойс объявляет о
выводе из строя водонапорной станции,
атакованной русскими хакерами
Впоследствии оказалось, что это «мирный» отказ
насоса
ФБР и DHS обнаружили: “русским хакером” был инженер, в
отпуске получивший удаленный доступ к SCADA
Извлеченный урок: Изучение логов и событий без
понимания АСУ ТП (ее основ, принципов работы,
протоколов и т.п.) может привести к неправильным
решениям и ошибкам
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 92/110
- 93. Знаем ли мы АСУ ТП с точки зрения
ИБ?
Цель: отключить город от
электричества
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 93/110
- 94. Знаем ли мы что атакуют
в АСУ ТП?
HMI
software
Несколько Human-Machine Interfaces
(HMI)
(компьютерные экраны и кнопки для людей)
HMI
“Lightboard” HMI
Много Programmable Logic Controllers (PLC)
device
(ожидающая система и принимающая решения)
PLC RTU
Сотни Remote Terminal Units (RTU)
(чтение сенсоров и контроль переключателей и
клапанов/вентилей) RTU
Процесс: Много тысяч переключателей, клапанов,
и датчиков (температура, давление , поток и т.д.)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 94/110
- 95. Учитывайте специфику: датчики
обычно не атакуют
Дискретные сенсоры
Выполняется условие или нет
Высокий или низкий уровень угрозы
Аналоговые сенсоры
Конвертация непрерывных
параметров (температура или поток)
в аналоговый сигнал
Сенсоры ничего не знают о
процессе, который может быть
атакован или о системе, которая
может быть скомпрометирована
«Оцифровка» сигнала
осуществляется RTU, PLC, IED
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 95/110
- 96. И вновь о русских хакерах в
Иллинойсе
Через несколько часов после заявления ФБР и DHS
об отсутствии «русского следа» и неуязвимости
насоса системы водоснабжения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 96/110
- 97. И вновь о русских хакерах в
Иллинойсе
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 97/110
- 98. Что означает квалификация в области
ИБ для АСУ ТП?
Низкая квалификация “Обычная” квалификация Высокая квалификация
Больше Скорейшее
возможностей обнаружение
для атак до того, означает, что вы
как обнаружат долго будете
преступника находиться вне
радара
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
злоумышленников 98/110
- 99. Но специалистов по ИБ для АСУ ТП в
России почти нет!
ИТ-специалисты
ИБ-специалисты Специалисты
АСУ ТП
Специалисты по ИБ АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 99/110
- 100. С чего можно начать прямо сейчас?!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 100/110
- 102. Домашняя АСУ ТП
Cisco Home Energy
Controller (CGH-100)
• Экран Touch screen
• Поддержка WiFi / Ethernet
• Smart Energy Profile certified
Zigbee interface
• Управление из облака
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 102/110
- 103. Домашняя АСУ ТП
Использование Термостат Как экономить?
Реакция на потребности Счет Контроль техники
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 103/110
- 104. Управление АСУ ТП из облака
Ключевые элементы
• Cisco Home Energy Controller (HEC)
• Appliances and Peripherals
• Smart Meter
• Опыт пользователя
• Cloud CPE3rd Party B2B Feeds
Services
(Retail Energy
Providers, Google,
Microsoft)
Smart
Plugs/
Smart
Services
Appliances/ HEC
PCT Provisioning &
Mgmt System
Cisco Cloud Services
Electricity
Broadband Utility Portal
Gas Network Energy
Cisco Home Energy Database
Controller
Water (HEC)
Utility
Network DRMS &
Heat
Pluggable Electric Vehicle Utility Utility Portal
Smart Meters Analytics Remote
Access
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 104/110
- 105. Облачная АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 105/110
- 106. Заключение
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 106/110
- 107. 9 базовых процесса защиты АСУ ТП
• Мониторинг и регистрация событий
Мониторинг и • Расследование и сбор доказательств
расследование • Обнаружение и оценка угроз
Управление • Управление рисками
рисками и • Управление уязвимостями
уязвимостями • SDLC
• Планирование непрерывности бизнеса
Реагирование и • Управление кризисом
непрерывность • Реагирование на инциденты
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 107/110
- 108. Как разработать свой стандарт?
Специально для
разработки
отраслевых
стандартов
существует набор
рекомендаций,
которые должны
включаться (не
забываться) при
создании
собственного набора
требований по
безопасности АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 108/110
- 109. Опыт в России есть! Надо только
начать!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 109/110
- 110. © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 110/110